Há uma falha no código de carregamento de projetos no VBA (Visual Basic for Applications). Se a falha for explorada corretamente, isso poderá permitir que um invasor execute o código de sua escolha no contexto de um usuário conectado. O problema ocorre devido a uma vulnerabilidade de saturação do buffer no modo como o VBA lê as propriedades do documento que são passadas a ele pelo aplicativo host. Para que a vulnerabilidade seja explorada corretamente, precisa abrir um documento criado e recebido de um invasor. Esse documento pode ser qualquer tipo de documento que suporte a integração do VBA.
Considere que...
O documento recebido precisa ser aberto por você, e tem de ser enviado por um invasor que tenha explorado essa vulnerabilidade.Se usar o MS Word como o editor de e-mail HTML no Microsoft Outlook, uma mensagem poderá apresentar a falha. No entanto, somente ao responder essa mensagem aberta ou ao encaminhá-la tal vulnerabilidade ocorrerá.O código do invasor pode ser executado somente com os mesmo direitos que você tem como usuário conectado. As credenciais administrativas específicas que o invasor pode obter por meio dessa vulnerabilidade dependem das suas credenciais administrativas. Quaisquer limitações em sua conta, como credenciais administrativas aplicadas por meio de Diretivas de Grupo, também limitam as ações de qualquer código que essa vulnerabilidade venha a executar.
Atualizações necessárias para os produtos Microsoft Office:
Microsoft Office 2000, Microsoft Office XP, Microsoft Visio 2002
Se você usar o Office 2000, Office XP, Visio 2002, ou produtos Office individuais que não foram listados anteriormente, será necessário usar um dos patches de segurança da atualização personalizada para esses produtos. Essa atualizações são criadas para garantir que o patch correto ocorra ao usar Instalação por demanda e Detectar e Reparar na instalação do Office. A Microsoft recomenda o uso desse método para atualizar esses produtos.
Microsoft Works Suite
Se você usar o Microsoft Works Suite, a Microsoft recomenda a instalação do patch de segurança usando o site da Web das atualizações de produtos Office. O site detecta a sua instalação particular e solicita a instalação que deve fazer para garantir que ela seja completamente atualizada.Para obter informações adicionais sobre as atualizações, visite o seguinte site da Microsoft na web:Depois que a detecção for concluída, receberá uma lista de atualizações recomendadas para a sua aprovação. Clique em Iniciar a instalação para concluir o processo. Se estiver usando o Microsoft Works Suite, também será possível atualizar seu sistema com o patch de segurança.
Microsoft Visio 2000 ou Microsoft Office 97
Se estiver usando o Visio 2000 ou o Office 97, será necessário atualizar imediatamente seu sistema com o patch de segurança.Se você usar um produto do Microsoft Office 2003, certamente já possui esse patch de segurança e não precisará atualizar o seu sistema.
Informações sobre o Patch de Segurança
O seguinte patch de segurança destina-se a qualquer aplicativo que integrou o VBA usando o VBA SDK (Microsoft Visual Basic for Applications Software Development Kit) versões 5.0, 6.0, 6.1, 6.2 ou 6.3. A Microsoft recomenda que as empresas que licenciaram e criaram aplicativos ativados pelo VBA usem este patch de segurança para todas as novas instalações. Essas empresas podem distribuir livremente a correção e os arquivos de modo que seja adequado para a instalação do seu aplicativo.A Microsoft recomenda que todos os clientes VBA atualizem sua versão do mecanismo do VBA (VBE ou VBE6) o quanto antes. Clientes que possuem um aplicativo ativado pelo VBA deverão entrar em contato com o fabricante do aplicativo para verificar se há um patch de segurança especializado ou uma atualização disponível para tal aplicativo. Caso ainda não haja um patch de segurança especializado ou uma atualização disponível, ou se o produto for um dos produtos Microsoft citados anteriormente, você deverá fazer o download e então instalar o seguinte patch de segurança.Os seguintes arquivos estão disponíveis para download no Centro de Download da Microsoft:
Informações sobre a Instalação
Feche todos os aplicativos que usam o VBA e então faça a atualização.Precisará confirmar a instalação.Não precisará reiniciar a menos que o VBA esteja sendo usado por outro processo.Os desenvolvedores que quiserem obter a versão do patch de segurança do VBE ou VBE6 sem instalar o patch poderão fazer isso usando a opção de Instalação apropriada.
As informações deste post aplicam-se a:
Microsoft Access 97 Standard EditionMicrosoft Excel 97 Standard EditionMicrosoft Office 97 Standard EditionMicrosoft PowerPoint 97 Standard EditionMicrosoft Visio 2000 Enterprise EditionMicrosoft Visio 2000 Professional EditionMicrosoft Visio 2000 Standard EditionMicrosoft Visio 2000 Technical EditionMicrosoft Word 97 Standard EditionMicrosoft Word 98 Standard EditionMicrosoft Works Suite 2003 Standard EditionMicrosoft Works Suite 2002 Standard EditionMicrosoft Works Suite 2001 Standard EditionMicrosoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.3Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.2Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.1Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 6.0Microsoft Visual Basic for Applications (VBA) Software Development Kit (SDK) 5.0
Tags: VBA, error, erro, bug, security, segurança, MS03-037, Microsoft, bug, kbdownload, kbqfe, kbsecvulnerability, kbsecurity, kbsecbulletin, kbbug, kbupdate, kbfix, KB822150,